［错误观点跟正］IP安全策略的几点误区 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 系统软件［错误观点跟正］IP安全策略的几点误区

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

［错误观点跟正］IP安全策略的几点误区

xqe 雄霸杖朝狮帖子:17205 注册: 2004-01-20 来自:苏州	发表于： 2006-07-25 21:23 \| 只看楼主短消息资料字号：小中大 1楼［错误观点跟正］IP安全策略的几点误区最近在网上经常看到IP安全策略的东西,甚至有人提出"彻底放弃你的防火墙"的说法,今天在网上转了一圈还有"windowsXP防火墙墙的IP规则"的叫法然后到百度一搜,发现这些错误已经传遍了大江南北. 首先我们明确什么是IP安全策略(或者windows安全策略包) 所谓的IP安全策略就是大家熟悉的IPSEC 肯定有人会问 IPSEC是什么我们来看微软是怎么解释IPSEC的 IPsec 规则确定 IPsec 必须对哪些类型的通信流进行检查；是允许通信流、阻止通信流还是协商安全性；如何对 IPSec 对等方进行身份验证；以及其他设置。配置 IPsec 规则时，您可以配置筛选器列表，该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式（传输模式或隧道模式）。 IPsec 规则通常是针对特定用途（例如，“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”）配置的。看了半天,关键就 3个字筛选器我们来看筛选器和筛选器的规则是怎么一回事小盖说:(只用看划线的绿色部分,其余是废话) 筛选器是 IPsec 策略最重要的组成部分。如果您未在客户端策略或服务器策略中指定正确的筛选器，或者如果 IP 地址已更改，但该策略的筛选器却未更新，则安全性就会得不到保障。 IPsec 筛选器被插入到计算机上的 TCP/IP 网络协议堆栈的 IP 层，因此这些筛选器可以对所有入站或出站 IP 数据包进行检查（筛选）。除了稍有延迟之外（在两台计算机之间协商安全性关系必然引起延迟），IPsec 对于最终用户应用程序和操作系统服务来说是透明的。筛选器依据 IPsec 策略中的安全性规则与相应的筛选器操作相关联。 Windows IPsec 同时支持将 IPsec 隧道模式和 IPsec 传输模式用作此规则的选项。 IPsec 隧道模式规则的配置与 IPsec 传输模式规则的配置有很大差异与 IPsec 策略相关联的筛选规则与防火墙规则类似。通过使用 IP 安全策略管理 Microsoft 管理控制台 (MMC) 管理单元提供的图形用户界面 (GUI)，可以将 IPsec 配置为根据源与目标地址组合以及特定协议和端口来允许或阻止特定类型的通信流。注：Windows IPsec 并不是功能全面并基于主机的防火墙，它也不支持动态筛选功能或有状态筛选功能，例如在 TCP 握手期间跟踪已建立的位以控制通信流可以具有的流向。 ----------------------------------------------------------- 头晕了? 其实上面一大段话就一句话和注释有用通过使用 IP 安全策略管理 Microsoft 管理控制台 (MMC) 管理单元提供的图形用户界面 (GUI)，可以将 IPsec 配置为根据源与目标地址组合以及特定协议和端口来允许或阻止特定类型的通信流。这就是IPSEC的筛选器和筛选器规则的运作原则 ------------------------------------------------------------------ 下面我们看上面的注释小盖说 Windows IPsec 并不是功能全面并基于主机的防火墙，它也不支持动态筛选功能或有状态筛选功能说到底就2个观点 1 IPSEC的功能<主机防火墙 2 IPSEC不能代替防火墙. ------------------------------------------------------ OK现在我们看网上流传的误区误区一有了IP安全策略可以抛弃所有的防火墙了批判: 微软关于IPSEC中已经明确指出 Windows IPsec 并不是功能全面并基于主机的防火墙，它也不支持动态筛选功能或有状态筛选功能补充: IPSEC 只能阻止特定端口的所有数据流(正常的和攻击的数据流都阻止) 但是80端口是不能列为 IPSEC的禁止范围的,因此策略在反弹木马前是无效的. 同理比如QQ端口 MSN的端口等等都不能列为禁止范围. 误区二 IP策略组是windowsXP自带防火墙的规则批判: IPSEC早在WIN2000的时候就有了那时还没什么系统自带的防火墙. 系统自带的防火墙和IPSEC是完全不同的组件. 因此这种说法是荒谬的. 误区三 IPSEC 能阻止大部分木马和蠕虫批判看似正确,其实错误 IPSEC通过强行关闭特定的端口来阻止木马或蠕虫比如冲击波利用了135、137、138、139、445等端口你用IPSEC 禁止了上述端口禁了冲击波,也无法使用文件共享. 要是遇到自定义端口的木马,也就束手无策了,关闭所有端口吧,和直接拔网线没区别,不禁吧等于没防护. 因此IP安全策略是无法代替防火墙的,更不是什么XP自带防火墙的规则. IPsec的真正作用并不是防御病毒和关闭端口. 大家看微软关于IPSEC的叙述(本篇引用的部分也来自这里) http://www.microsoft.com/china/technet/security/topics/architectureanddesign/ipsec/ipsecapa.mspx 2006-07-25 21:51:09
xqe 雄霸杖朝狮帖子:17205 注册: 2004-01-20 来自:苏州	分享到：

川萌天初生襁褓狮帖子:2416 注册: 2005-03-25 来自:	发表于： 2006-07-25 21:54 \| 短消息资料字号：小中大 2楼谢谢了
川萌天初生襁褓狮帖子:2416 注册: 2005-03-25 来自:

零下二度初生襁褓狮帖子:2923 注册: 2006-05-05 来自:	发表于： 2006-07-25 21:59 \| 短消息资料字号：小中大 3楼系统的防火墙不可靠!
零下二度初生襁褓狮帖子:2923 注册: 2006-05-05 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT